楊陽
摘 要:大數(shù)據(jù)時(shí)代的到來給審計(jì)工作提出了全新的要求。審計(jì)職能、審計(jì)方法論、審計(jì)技術(shù)和審計(jì)內(nèi)容等都將發(fā)生全新的變化。本文試圖從審計(jì)方法的角度來梳理大數(shù)據(jù)時(shí)代下審計(jì)所面臨的挑戰(zhàn)及應(yīng)對方法。本文將從 C 端和 B 端兩個(gè)維度來對審計(jì)方法展開分析。除過傳統(tǒng)的審計(jì)方法外,大數(shù)據(jù)時(shí)代下的 C 端審計(jì),要重點(diǎn)關(guān)注流量審計(jì);大數(shù)據(jù)時(shí)代下的 B 端審計(jì),要將更多的精力投向信息系統(tǒng)審計(jì)。
關(guān)鍵詞:審計(jì)方法;流量審計(jì);信息系統(tǒng)審計(jì)
一、綜述
如今,數(shù)據(jù)已經(jīng)滲透進(jìn)了每一個(gè)行業(yè)和職能領(lǐng)域,成為了新的生產(chǎn)要素。人們對于數(shù)據(jù)的使用,將極大的擴(kuò)寬生產(chǎn)邊界。數(shù)據(jù)的迅速膨脹,高新技術(shù)的使用以及新型商業(yè)模式的出現(xiàn),都對審計(jì)工作提出了全新的要求。在大數(shù)據(jù)時(shí)代,如何審計(jì)這些數(shù)據(jù),成為了每一個(gè)審計(jì)人員都應(yīng)當(dāng)考慮的事情。
數(shù)據(jù)來自于不同的維度,從數(shù)據(jù)生產(chǎn)者的角度來看,數(shù)據(jù)可被分為三類:第一類是 C(Consumer)端的數(shù)據(jù),第二類是 B(Bussiness)端的數(shù)據(jù),第三類是G(Goverment)端的數(shù)據(jù)。但其中 G 端的數(shù)據(jù)不以盈利為目的,所以不在本文的討論范圍之內(nèi)。
二、數(shù)據(jù)的生產(chǎn)方式
2.1C 端數(shù)據(jù)的生產(chǎn)方式
每個(gè)人隨時(shí)隨地,每時(shí)每刻都在生產(chǎn)著數(shù)據(jù),并且這些數(shù)據(jù)被通過不同的方式記錄了下來。在線上(即網(wǎng)絡(luò)空間中),每個(gè)網(wǎng)絡(luò)用戶在使用各大網(wǎng)絡(luò)平臺滿足自身的日常需求時(shí),他們所產(chǎn)生的數(shù)據(jù)就已經(jīng)被各大平臺按需獲取,從而形成了平臺的流量。在線下(即事實(shí)空間中),個(gè)人的行為習(xí)慣、飲食起居、行蹤軌跡等日常生活也被傳感器、攝像頭、信號塔等設(shè)備所記錄。我們每個(gè)人的數(shù)據(jù)都是一個(gè)數(shù)據(jù)源頭,在源源不斷的生產(chǎn)著數(shù)據(jù)。
2.2B 端數(shù)據(jù)的生產(chǎn)方式
企業(yè)從成立至破產(chǎn),無時(shí)無刻不在生產(chǎn)著數(shù)據(jù)。企業(yè)作為市場經(jīng)濟(jì)活動(dòng)的主要參與者,要運(yùn)用各種生產(chǎn)要素來進(jìn)行經(jīng)營。為了在激烈的市場競爭中生存,企業(yè)一方面需要擴(kuò)大生產(chǎn)要素的數(shù)量,另一方面需要提升生產(chǎn)要素的運(yùn)營效率。數(shù)據(jù)作為新的生產(chǎn)要素,也就自然成為了各個(gè)企業(yè)的競爭之地。企業(yè)生產(chǎn)數(shù)據(jù)的方式有兩種,一種是按照企業(yè)目前的經(jīng)營狀況,從設(shè)計(jì)、生產(chǎn)、銷售等環(huán)節(jié)來按需采集并生產(chǎn)數(shù)據(jù);另一種建設(shè)新型的知識體系,自主開發(fā)企業(yè)所擁有的數(shù)據(jù)資源, 包括數(shù)據(jù)服務(wù),數(shù)據(jù)知識圖譜,數(shù)據(jù)標(biāo)注表等。
三、C 端審計(jì)
對于各大網(wǎng)絡(luò)平臺公司,和流量相關(guān)的收入平均占總收入的 60%以上。但流量并非完全是真實(shí)的,如何保證流量的真實(shí)性,這就對審計(jì)方法提出了新的要求。
3.1異常流量普遍存在
流量對于各大網(wǎng)絡(luò)平臺來說至關(guān)重要,但是異常流量早已經(jīng)出現(xiàn)在了互聯(lián)網(wǎng)的各個(gè)細(xì)分行業(yè)之中。電商領(lǐng)域的流量可被用來刷單、刷信譽(yù);廣告領(lǐng)域的流量可被用來刷點(diǎn)擊,刷曝光率;APP 的流量可以刷下載,刷活躍人數(shù);自媒體領(lǐng)域的流量可以用來刷粉絲,刷閱讀量等。
3.2外界對流量數(shù)據(jù)越加關(guān)注
從 2020 年 3 月 1 日起,網(wǎng)信辦發(fā)布的《網(wǎng)絡(luò)信息內(nèi)容生態(tài)治理規(guī)定》開始正式運(yùn)行,該規(guī)定中明確流量數(shù)據(jù)造假已被視為違規(guī)行為;全球各資本市場對業(yè)績和數(shù)據(jù)真實(shí)性愈發(fā)關(guān)注,如中國證監(jiān)會(huì)《首次公開發(fā)行股票并上市管理辦法》和香港聯(lián)交所《證券上市規(guī)則》等法規(guī)和條款都要求數(shù)據(jù)披露人對數(shù)據(jù)的真實(shí)、準(zhǔn)確、完整負(fù)責(zé);流量欺詐會(huì)導(dǎo)致網(wǎng)絡(luò)服務(wù)商和供應(yīng)商下架產(chǎn)品。
3.3流量黑產(chǎn)的典型鏈路
在黑產(chǎn)上游環(huán)節(jié),“手機(jī)卡商”提供卡源和貓池,開發(fā)者開發(fā)出接碼平臺和群控軟件來統(tǒng)一操作手機(jī)、貓池等網(wǎng)絡(luò)設(shè)備,上游承擔(dān)了硬件軟件支持的的角色。在黑產(chǎn)中游環(huán)節(jié),通過跳轉(zhuǎn)號和盜號掃號養(yǎng)號等行為承擔(dān)著賬號注冊與分銷的角色。在黑產(chǎn)下游環(huán)節(jié),通過吸粉、詐騙、微商等引流活動(dòng)和播放量、點(diǎn)贊、收藏等刷量活動(dòng)實(shí)現(xiàn)盈利變現(xiàn)。
3.4C 端的審計(jì)方法
若完全了解程序的內(nèi)部邏輯結(jié)構(gòu),可以利用大數(shù)據(jù)分析技術(shù)和軟件白盒測試方法來進(jìn)行審計(jì)。具體的審計(jì)方法為:首先從用戶信息、用戶行為、網(wǎng)絡(luò) IP、用戶設(shè)備和數(shù)據(jù)指標(biāo)等維度建立起流量審計(jì)分析框架;在流量審計(jì)分析框架的基礎(chǔ)上,從日質(zhì)數(shù)據(jù)中按需獲取相關(guān)的數(shù)據(jù),并進(jìn)行相應(yīng)的數(shù)據(jù)清洗、數(shù)據(jù)存儲(chǔ)和數(shù)據(jù)分析;在分析的結(jié)果之上出具相應(yīng)的審計(jì)報(bào)告。
若不完全了解程序的內(nèi)部邏輯結(jié)構(gòu),可以利用大數(shù)據(jù)分析技術(shù)和軟件黑盒測試方法來進(jìn)行審計(jì)。具體的審計(jì)方法為:首先按照國家標(biāo)準(zhǔn)中對于異常流量的定義和分類,并結(jié)合審計(jì)客戶的具體情況,制定出本次反作弊系統(tǒng)測試的具體規(guī)則; 再設(shè)計(jì)出不同的正常流量數(shù)據(jù)和異常流量數(shù)據(jù),通過不同的行為和功能測試來判斷反作弊系統(tǒng)能否完成正常的識別;在測試的基礎(chǔ)上更新系統(tǒng)規(guī)則并迭代開發(fā)測試系統(tǒng),直到能滿足要求為止;最后使用測試系統(tǒng)來測試用戶的流量數(shù)據(jù),并在分析的結(jié)果之上出具相應(yīng)的審計(jì)報(bào)告。
四、B 端審計(jì)
企業(yè)作為一個(gè)“信息系統(tǒng)”,生產(chǎn)出的數(shù)據(jù)有兩方面用途,一方面被用于企業(yè)內(nèi)部來改善管理和更新產(chǎn)品。另一方面被用來拓展市場,提高生產(chǎn)效率和質(zhì)量, 擴(kuò)寬企業(yè)經(jīng)營邊界。
4.1數(shù)據(jù)孿生
目前各個(gè)行業(yè)都處于信息化轉(zhuǎn)型的浪潮中,各行業(yè)都在打造數(shù)據(jù)孿生體。所謂的數(shù)據(jù)孿生就是指通過物聯(lián)網(wǎng)、傳感器、5G 等網(wǎng)絡(luò)設(shè)備以及網(wǎng)絡(luò)傳輸協(xié)議, 將現(xiàn)實(shí)世界中真實(shí)存在的物質(zhì)映射到網(wǎng)絡(luò)世界中,從而實(shí)現(xiàn)現(xiàn)實(shí)世界和網(wǎng)絡(luò)世界的雙向發(fā)展。
4.2B 端審計(jì)的挑戰(zhàn)
B 端生產(chǎn)的數(shù)據(jù)是一體的,但用途卻是兩方面的,審計(jì)人員首先面對的問題就是數(shù)據(jù)的權(quán)限分配問題,審計(jì)人員不可能拿到所有的權(quán)限來核準(zhǔn)數(shù)據(jù)的準(zhǔn)確性以及信息系統(tǒng)的具體邏輯規(guī)則;其次,審計(jì)人員需要關(guān)注現(xiàn)實(shí)世界的經(jīng)營情況和數(shù)字世界的映射情況,這就要求審計(jì)人員要了解一部分的映射規(guī)則,并且要分現(xiàn)實(shí)世界和數(shù)字世界分別給與審計(jì)報(bào)告;數(shù)據(jù)最后審計(jì)人員要明白受托責(zé)任制并沒有發(fā)生改變,只是商業(yè)模式出現(xiàn)了創(chuàng)新,我們?nèi)匀粦?yīng)該對多方負(fù)責(zé),并負(fù)有審計(jì)法律責(zé)任和審計(jì)職業(yè)責(zé)任。
數(shù)據(jù)的安全性是 B 端審計(jì)的核心,作為審計(jì)人員,最重要的任務(wù)就是要確保數(shù)據(jù)是安全的。數(shù)據(jù)的安全應(yīng)該從兩個(gè)維度來分析,第一個(gè)維度是企業(yè)內(nèi)部使用數(shù)據(jù)時(shí),是否設(shè)置了相應(yīng)的權(quán)限來保障數(shù)據(jù)安全性;第二個(gè)維度是企業(yè)和企業(yè)外部產(chǎn)生交互時(shí),數(shù)據(jù)是否被完整的存儲(chǔ),是否只開放了愿意開放的接口,是否設(shè)置了反爬蟲規(guī)則等等。
4.3B 端審計(jì)的方法
B 端數(shù)據(jù)的性質(zhì),導(dǎo)致了審計(jì)人員只能拿到有限的權(quán)限來展開測試,所以采用的審計(jì)方法應(yīng)當(dāng)采用大數(shù)據(jù)分析加黑盒測試的方法。首先按照客戶的經(jīng)營方 向,制定出測試系統(tǒng)的具體規(guī)則;再根據(jù)具體規(guī)則來編寫不同的測試用例來測試功能;再在測試的基礎(chǔ)上更新系統(tǒng)規(guī)則并迭代開發(fā)測試系統(tǒng),直到能滿足要求為止;最后使用測試系統(tǒng)來測試數(shù)據(jù),并在分析的結(jié)果之上出具相應(yīng)的審計(jì)報(bào)告。
五、總結(jié)
大數(shù)據(jù)時(shí)代的審計(jì)方法離不開大數(shù)據(jù)分析技術(shù)和測試開發(fā)技術(shù),同時(shí)還需要審計(jì)人員具備審計(jì)知識,這都對審計(jì)人員、審計(jì)工作提出了更高的要求。
綜上所述,在大數(shù)據(jù)時(shí)代,審計(jì)人員面臨著諸多挑戰(zhàn),但通過恰當(dāng)?shù)膶徲?jì)方法,仍可以相對保證數(shù)據(jù)的可靠性。在具體的審計(jì)工作中,審計(jì)人員雖可以拿到全部的數(shù)據(jù),但在客觀條件上仍受限于數(shù)據(jù)保密性、數(shù)據(jù)安全性、系統(tǒng)開發(fā)規(guī)則、審計(jì)成本和商業(yè)模式的約束,審計(jì)人員仍無法絕對保證數(shù)據(jù)的可靠性。同時(shí),我們還應(yīng)該思考一個(gè)更深層次的問題,如果大數(shù)據(jù)、人工智能和數(shù)據(jù)挖掘技術(shù)得到進(jìn)一步運(yùn)用,能夠動(dòng)態(tài)規(guī)劃企業(yè)的日常經(jīng)營,受托責(zé)任制還會(huì)成為審計(jì)的理論基礎(chǔ)嗎?88CDDC15-59A6-4C18-94BD-EB96A6BF660D